포스팅 내용

악성코드 분석 리포트

리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 06월 03일), 리플라이 오퍼레이터 그룹이 금융회사를 사칭해 'Sodinokibi' 랜섬웨어를 유포한 정황이 포착되었습니다.


[그림 1] 금융 회사를 사칭한 피싱 메일 화면


피싱 메일에는 UltraFax 서비스를 통해 금융회사에서 문서를 보냈다는 내용이 들어 있으며, 리플라이 오퍼레이터 그룹이 사용하는 "gmx.com" 도메인으로 발송되었습니다.


또한, 첨부된 RAR 파일에는 비밀번호를 설정해 백신 탐지를 우회하려고 시도하였습니다.


[그림 2] 비밀번호가 설정된 RAR 파일


해당 메일을 받은 사용자가 첨부된 파일을 금융 문서로 착각해 압축을 해제하면, '급여 고지.doc.exe'라는 MS Word 문서(.doc)를 위장한 악성 실행 파일(.exe)이 들어 있습니다.


[그림 3] MS Word 문서 파일을 위장한 악성 파일


이번에 발견된 악성파일은 Word 문서인 것처럼 꾸미려 시도했지만 쉽게 실행 파일(.exe)임을 확인하실 수 있습니다.


하지만 메일을 받은 담당자가 급여와 관련된 Word 파일로 착각해 해당 파일을 실행한다면, 사용자 PC는 Sodinokibi 랜섬웨어에 감염됩니다.


[그림 4]  '급여 고지.doc.exe' 실행 화면


Sodinokibi 랜섬웨어에 감염되면, 각 폴더마다 readme.txt라는 랜섬노트와 함께 lock 파일을 생성합니다.


[그림 5] 각 폴더마다 생성되는 랜섬노트 및 lock 파일


또한, Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, "Welcome. Again"이라는 문구로 시작하는 랜섬노트를 감염된 PC에 생성합니다.


[그림 6] Sodinokibi 랜섬웨어에 감염된 PC 화면


파란색 화면으로 변경된 사용자 PC에는 랜섬노트의 안내를 따르라는 문구가 적혀있습니다.


[그림 7] Sodinokibi 랜섬노트 화면


리플라이 오퍼레이터 그룹은 최근 다양한 피싱 메일을 활용하여 신종 Sodinokibi 랜섬웨어를 국내에 대량으로 유포하고 있습니다.


따라서, 각 기업의 담당자께서는 출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.


※ 리플라이 오퍼레이터(Reply Operator) 그룹 게시글 바로가기


▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)

▶ 이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의 (2019.03.18)

▶ [주의] 새로운 헌법 재판소 소환장으로 사칭, 유포중인 갠드크랩 v5.2 주의! (2019.03.20)

▶ [주의] 헌법 재판소 소환장으로 사칭한 갠드크랩 v5.2 여전히 유포중! (2019.03.25)

▶ [주의] 대한민국 국세청을 사칭한 갠드크랩 v5.2 주의! (2019.03.28)

▶ '리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (2019.04.02)

▶ '리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (2019.04.19)

▶ 리플라이 오퍼레이터 그룹 FAX 문서를 사칭한 악성 메일 유포중! (2019.05.08)

 리플라이 오퍼레이터, 헌법재판소 사칭해 'Sodinokibi' 랜섬웨어 유포 중! (2019.05.22)

 리플라이 오퍼레이터, 헌법재판소 사칭해 다양한 랜섬웨어 유포 주의! (2019.05.28)

 리플라이 오퍼레이터, '정리 해고' 제목으로 소디노키비 랜섬웨어 유포 중 (2019.05.29)

리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)




티스토리 방명록 작성
name password homepage